ESXI更新到6.7後CVE-2018-3646警告的處理,遮蔽告警
阿新 • • 發佈:2021-06-18
現象
ESXI更新到6.7之後,vcenter控制檯會預設有如下提示
esx.problem.hyperthreading.unmitigated
開啟ESXI控制檯,提示如下
該主機可能容易受到 CVE-2018-3646 中所描述問題的影響,有關詳細資訊和 VMware 建議,請參閱 https://kb.vmware.com/s/article/55636。
原因
VMware 在更新VMSA-2018-0020後新增了一個針對CVE-2018-3646漏洞修復狀態的提示,如果此漏洞未修復,則會有如上的提示。
關於CVE-2018-3646
CVE-2018-3646主要是intel處理器晶片級的漏洞,可能造成虛擬化層面的資訊洩露,具體可參看intel官方的公告 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html
vmware官方說明如下
https://kb.vmware.com/s/article/55806
https://kb.vmware.com/s/article/57374
##禁用此提示方法
由於此漏洞屬於晶片級漏洞,更新韌體會造成較大的效能損失,在私有云環境下,此漏洞的影響範圍可控,我們可以選擇禁用此提示,暫緩漏洞的修復
禁用的方法如下:
- 在vcenter中選中ESXI主機,開啟
配置>高階系統設定 - 點選
編輯,篩選UserVars.SuppressHyperthreadWarning - 將
UserVars.SuppressHyperthreadWarning的值由0改為1
更改實時生效,不需要重啟之類的操作